GDPR: privacy by default e privacy by design

Il Regolamento Europeo 679/2016 introduce due nuovi principi che rappresentano il cardine dell’intera disciplina

Continuiamo l’esame della normativa vigente in tema di trattamento dei dati personali per conoscere quali sono i due nuovi principali criteri che devono informare l’attivita del Titolare dei dati sia come impostazione predefinita (by default) sia come elemento previsto sin dalla progettazione (by design) di un singolo trattamento effettuato o servizio erogato.

Il legislatore Europeo ha posto particolare attenzione nella responsabilizzazione (c.d. principio di accountability) del Titolare del trattamento al fine di rendere operativa ed efficace la protezione delle persone fisiche rispetto al trattamento dei dati personali a loro riferibili.

L’Autorità Garante nazionale ha messo in evidenza, in più di una occasione, come la cura posta dal Regolamento in questo ambito trova nei due principi della privacy by default e della privacy by design come disciplinati dall’articolo 25 del GDPR gli elementi centrali e caratterizzanti.

Il Regolamento Europeo, infatti, al fine di una più completa protezione dei dati personali e di una maggiore tutela dei diritti dell’interessato, ha introdotto con questo l’articolo, rispettivamente ai paragrafi 1 e 2, due criteri secondo i quali:

  • la protezione dei dati personali deve essere un impegno seguito e previsto già dalla progettazione di un trattamento/servizio – PRIVACY by DESIGN;
  • la protezione dei dati personali deve essere una impostazione predefinita per ogni trattamento /servizio – PRIVACY by DEFAULT.

Nel primo caso, il Titolare del trattamento è chiamato a porre in essere misure tecniche e organizzative adeguate, quali la pseudonimizzazione, finalizzate ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare quanto previsto dal Regolamento UE relativamente alla tutela dei diritti degli interessati.

Particolare rilevanza acquista dunque, in questa fattispecie, la pratica della PSEUDONIMIZZAZIONE, intesa come tecnica per aumentare la protezione del dato (e quindi dell’interessato) attraverso delle modalità di conservazione di questo che impediscano di risalire all’identificazione dell’interessato senza la disponibilità e/o l’uso di informazioni aggiuntive o complementari. Tipicamente l’uso di un codice univoco che sostituisca i dati anagrafici del nome e cognome dell’interessato a cui si riferiscono i dati all’interno dell’archivio principale o delle comunicazioni previste all’interno del trattamento.

È bene porre attenzione al fatto che il Regolamento Europeo, benché sia esplicito e cogente sulla necessità e “l’obbligo” di dare piena attuazione a questo criterio, non detti delle modalità rigide per renderli operativi, ma anzi rimetta queste modalità alla valutazione del Titolare.

Una valutazione che come detto da più parti, sembra riservare al Titolare un’analisi sulla sostenibilità delle stesse basata su “lo stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse”.

Nel secondo caso, invece, il Titolare del trattamento è chiamato a porre in essere misure tecniche e organizzative che garantiscano, per impostazione predefinita all’interno dell’organizzazione generale, che i dati personali oggetto del trattamento siano solo quelli necessari per ogni specifica finalità del trattamento.

Ciò in riferimento a:

  • la quantità dei dati personali raccolti;
  • le modalità del trattamento;
  • il periodo di conservazione;
  • l’accessibilità ai dati.

In particolare, la norma sottolinea come, queste misure implementate dal Titolare, debbano garantire, sempre per impostazione predefinita, che non sia consentito l’accesso ai dati personali trattati a un numero indefinito di persone fisiche senza l’intervento di un operatore persona fisica.

In altri termini il Titolare è chiamato a svolgere preventivamente un censimento dei trattamenti che intende porre in atto mettendo in evidenza, in maniera puntuale, le modalità operative di ogni singolo trattamento, gli scopi e le finalità.

Effettuata questa prima analisi, lo stesso dovrà identificare se e, se si, quali diritti alla protezione dei dati personali, ovvero quali altri diritti della persona, saranno limitati dai trattamenti censiti.

Poi dovrà essere indagata la necessità dei trattamenti in rapporto agli obiettivi che sono alla base di questi ultimi.

Il tutto al fine di poter valutare, rispetto a quanto elaborato in precedenze, la scelta delle opzioni operative più efficaci e mano invasive

Appare opportuno sottolineare, infine, come potrebbe essere una valida opzione da parte del Titolare quella di ottenere una certificazione per la gestione dei dati quale quella prevista dallo standard ISO/IEC 27001 relativo a Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni, ovvero adeguarsi a quanto previsto dalla norma UNI/PdR 43.1:2018 avente come titolo: Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Gestione e monitoraggio dei dati personali in ambito ICT.

Ciò poiché un simile comportamento potrebbe essere utilizzato come elemento di prova concreta della volontà e della conseguente operatività per rendere il proprio agire conforme ai requisiti della privacy by design e by default.

Renato Carafa